入侵检测系统IDS介绍.docVIP

贵州大学实验报告 学院：计算机学院 专业：信息安全 班级：121 姓名 饶永明 学号 1208060066 实验组 实验时间 6.3 指导教师 蒋朝惠 成绩 实验项目名称 入侵检测系统 实验目的 1. 通过实验深入理解入侵检测系统的原理和工作方式。2. 熟悉入侵检测工具snort在Windows操作系统中的安装和配置方法。 上windows2003 实验原理 1．IDS 入侵检测系统（Intrusion Detection System，IDS）是针对计算机和网络系统资源上的恶意使用行为进行识别和响应的处理系统。它在不影响网络性能的前提下，对网络进行警戒、监控，从计算机网络的若干关键点收集信息，通过分析这些信息，查看网络中是否有违反安全策略的行为和遭到攻击的迹象，从而扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性。通过利用入侵检测系统，可以有效的防止或减轻来自网络的威胁，它已经成为防火墙之后的又一道安全屏障，并在各种不同的环境中发挥关键作用。 （1）入侵检测系统的分类 根据采集数据源的不同，入侵监测系统可分为基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）。 NIDS使用监听的方式，在网络通信的原始数据包中寻找符合网络入侵模板的数据包。NIDS的网络分析引擎放置在需要保护的网段内，独立于被保护的机器之外，不会影响这些机器的CPU、I/O与磁盘等资源的使用，也不会影响业务系统的性能。NIDS一般保护的是整个网段。 HIDS安装在被保护的机器上，在主机系统的审计日志或系统操作中查找信息源进行智能分析和判断，例如操作系统日志、系统进程、文件访问和注册表访问等信息。由于HIDS安装在需要保护的主机系统上，这将影响应用系统的运行效率。HIDS对主机系统固有的日志与监视能力有很高的依赖性，它一般保护的是其所在的系统。 （2）入侵检测系统的实现技术 入侵检测系统的实现技术可以简单的分为两大类：基于特征的检测和基于异常的检测。 基于特征的检测技术主要包括模式匹配和协议分析两种检测方法。 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式知识库进行比较，以发现入侵行为。 协议分析相对于模式匹配技术是一种更新的入侵检测技术。它首先捕捉数据包，然后对数据包进行分析，包括网络协议和命令解析，在解析的代码中快速检测某个攻击特征是否存在。 基于异常的检测技术有很多，例如采用统计模型、专家系统等技术来实现。它首先要对系统的行为进行统计，获得系统正常使用时的统计性能，如访问次数、操作失败次数和延时等。统计性能被用来与网络、系统的行为进行比较，当观察值在正常值范围之外时，入侵检测系统就会判断有入侵发生。 （3）入侵检测系统的部署原则 基于主机的入侵检测系统其安装部署简单，主要安装在检测的主机系统中，而基于网络的入侵检测系统复杂很多，需要考虑部署原则，以优化性能。 2．轻量级的网络入侵检测系统Snort 自20世纪最后几年来，随着Internet的广泛应用，各种IDS产品层出不穷。其中Snort是目前应用最为广泛的一个IDS产品，它有如下特点： ·它是一个轻量级的网络入侵检测系统，所谓轻量级是指该软件在运行时只占用极少的网络资源，对原有网络性能影响很小。 ·从数据来源上看，它是一个基于网络入侵的检测软件，即它作为嗅探器对发往同一网络上的其它主机的流量进行捕获，然后进行分析。 ·它的工作采用误用检测模型，即首先建立入侵行为特征库，然后在检测过程中，将收集到的数据包和特征码进行比较，以得出是否入侵的结论。 ·它是用C语言编写的开放源代码网络入侵检测系统。其源代码可以被自由地读取、传播和修改，任何一个程序员都可以自由地为其添加功能，修改错误、任意传播。 ·它是一个跨平台软件，所支持的操作系统非常广泛，比如Windows，Linux，SunOS等都支持。在实验中我们将在Windows系统上构建Snort。 ·Snort有3种主要模式：信息包嗅探器、信息包记录器或成熟的入侵探测系统。 Snort的一些功能： ·实时通信分析和信息包记录。 ·包装有效载荷检查。 ·协议分析和内容查询匹配。 ·探测缓冲溢出、秘密端口扫描、CGI攻击、SMB探测、操作系统侵入尝试。 ·对系统日志、指定文件、UNIX socket或通过Samba的WinPopus进行实时报警。 在Windows平台上安装Snort所需的软件包见表3.5。 表3.5 安装Snort需要的软件包 软件包 网 址 作 用 WinPcap http://winpcap.polito.it/ 网络数据包截取驱动程序，用于从网卡中抓取数据包。 Snort Windows中的Snort安装包，入